本文最初是發布在知乎2016-03-29，經過整理收錄至簡書專題

https://www.zhihu.com/question/41879654/answer/92822736?group_id=818061987832541184

關鍵字：hao123、世界級流氓軟件、軟件層面、注冊表修復、故障自救

解決問題之前，請仔細查看以下問題描述是否符合自身遇到的hao123，hao123也分版本年代，類似感冒和流感，情況可輕可重。

能用常規手段解決就用常規手段解決，不要輕易大動筋骨系統軟件層面的修改

事源：

刪除360安全衛士后，重啟電腦后chrome打開后出現hao123的首頁劫持

經過兩天的搏殺后，感覺靠自己一人的力量可能無法根除hao123的劫持，特此發問知乎er們求助

設備信息：

Windows7盜版旗艦 32位，多年未曾重裝

具體表現：

chrome 快捷方式 -屬性→ 有hao123的網址尾巴

打開chrome ，會彈出hao123的首頁劫持

解決故障目前遇到的問題

注冊表檢索有 幾十個hao123protect項， 常規手段（提權）無法刪除（錯誤提示：非父對象繼承）

有惡意進程/驅動的運行，Pchunter右鍵被鎖定，無法進行刪除

進展：PChunter中右鍵鎖定 莫名其妙解除，可能 360衛士主動防御運行中

可疑軟件排查進度：

即安裝時有可能捆綁hao123的軟件（可疑軟件名單怎么來的？最近安裝的軟件更新、百度反向搜索、知乎hao123帖子）

驅動人生5→曾安裝，已卸載

快播→曾安裝，已卸載

魔方→未安裝

華為網盤→未安裝

騰訊管家→未安裝

ZOL軟件安裝器→未安裝

常規手段嘗試：

Internet選項-設置 →無效

avast檢測 →無效

chrome快捷方式改名→ 無效

chrome-擴展，刪除最近安裝的擴展，不怎么使用的擴展→ 無效

chrome-設置-啟動時-設置網頁（空） → 無效

谷歌軟件清理工具software removal tool → 無效

快捷方式-屬性-目標，刪掉尾巴→重啟后無效

刪掉有問題快捷方式，重新建立快捷方式到Quick Launch

C:\Users\用戶名字\AppDara\Roaming\Microsoft\Internet Explorer\Quick Launch

→重啟后無效

修改注冊表固定 Internet選項 鎖死主頁 → 無效

360系統急救箱→ 無效

360安全衛士 →重啟后有效，但是注冊表殘留hao123protect仍存在！治標不治本

高級一點的手段嘗試：

1 注冊表檢索直接刪除注冊表hao123相關的值→能刪除的不斷再生，大部分無法刪除

2 西天取經老外四件套adwcleaner、JRT、HITMANPRO、mbam

Removehttp://Hao123.comvirus (Removal Guide)→ 無效

3 PChunter→內核鉤子全紅，應用層鉤子全紅、系統雜項4個紅，不敢輕舉妄動未處理

4 手動刪.sys .dll （以下名單收集自知乎帖子提供的可疑.dll .sys ，以下在本人drives內均沒有）

HYTJ.dll

QvodExtend.dll, QvodWebBase.dll →快播設置的劫持

Mslmedia.sys→POT冒牌網站遇到的劫持

jihuo.dll、LHPLKernel.sys 、surak.sys→小馬激活遇到的劫持

kisBase64.dll→ 金山安全助手遇到的劫持

已經嘗試過的手段

以上途徑，以及幾乎所有hao123知乎相關的貼

未嘗試的手段

解除運營商劫持

Reset chrome默認設定

chrome快捷方式-安全-禁止SYSTEM寫入

修改HOST

Microsoft silverlight 的卸載

360人工服務

Process Explorer

Process Hacker 2

Pchunter

請問

在不重裝的情況下，不使用老流氓360情況下

1可否移除注冊表內所有hao123protect的項？

2如何用PChunter解決此的問題？

其實是自問自答

知乎回答發布時間：2016-03-29?

與hao123的搏斗終于告一段落，前后大概3-4天

嘗試知乎，貼吧，V2EX，Youtube，幾乎所有關于hao123的帖子

均無法清除hao123對chrome的劫持，不是有意嘲諷，是流氓版本實在太新

全靠PChunter+Regedit實現不重裝電腦的自救，步驟如下

PChunter下載地址：http://www.xuetr.com/

1使用PChunter修復，鏟掉hao123Protect的保護殼

→強行修復可疑的應用鉤子、內核鉤子

→重啟

→檢查PChunter內是否還有可疑的應用鉤子、內核鉤子生成

→ 沒有殘余

2使用Regedit，逐個刪除hao123的注冊表鍵值

Regedit→查找hao123的項，鍵，值

PChunter-注冊表→ 對照的著一個一個刪掉

→重啟

→檢查 Regedit 是否還有再生的hao123protect

→ 沒有殘余

3刪除360安全衛士，測試在無360安全衛士的壓制下，是否還有活躍的hao123protect及其進程

→重啟

→ 檢查 Regedit 是否還有再生的hao123protect

→ 沒有殘余

搞定

問題和回答已收錄至

Win7軟件問題調查小分隊 - 專題 - 簡書